EdFinancial ve Oklahoma Öğrenci Kredisi İdaresi (OSLA), 2.5 milyondan fazla kredi kullanıcısını kişisel verilerinin bir veri ihlali sonucu açığa çıktığı konusunda bilgilendiriyor. İhlalin hedefi, OSLA ve EdFinancial için hizmet sistemi ve web portalı sağlayıcısı olan Lincoln, Nebraska merkezli Nelnet Servicing idi. Nelnet, 21 Temmuz 2022'de etkilenen kredi alıcılarına bir mektup göndererek ihlali duyurdu.
Mektuba göre, Nelnet'in siber güvenlik ekibi, bilgi sistemini güvence altına almak, şüpheli aktiviteyi engellemek, sorunu düzeltmek ve olayın niteliğini ve kapsamını belirlemek için üçüncü taraf adli bilişim uzmanlarıyla bir soruşturma başlatmak üzere hemen harekete geçti. 17 Ağustos'a kadar süren soruşturma, kullanıcıların kişisel bilgilerine yetkisiz bir kişi tarafından erişildiğini ortaya çıkardı. Açığa çıkan bilgiler arasında isimler, ev adresleri, e-posta adresleri, telefon numaraları ve sosyal güvenlik numaraları bulunuyor; toplamda 2.501.324 öğrenci kredisi hesap sahibi etkilendi. Kullanıcıların finansal bilgileri ise açığa çıkmadı.
Nelnet'in genel danışmanı Bill Munn tarafından Maine eyaletine sunulan bir ihlal bildirimine göre, ihlal 1 Haziran 2022 ile 22 Temmuz 2022 arasında bir zamanda meydana geldi. Ancak, etkilenen müşterilere gönderilen bir mektup ihlali 21 Temmuz'a tarihlendiriyor. İhlal 17 Ağustos 2022'de keşfedildi. Mektupta, '22 Temmuz 2022'de Nelnet Servicing, LLC (Nelnet), hizmet sistemimiz ve müşteri web portalı sağlayıcımız, bu olaya yol açtığına inandığımız bir güvenlik açığı keşfettiklerini bize bildirdi' ifadesi yer alıyor. Güvenlik açığının ne olduğu ise belirsizliğini koruyor.
Önemli Gelişmeler
Kullanıcıların en hassas finansal verileri korunmuş olsa da, Nelnet ihlalinde erişilen kişisel bilgiler 'gelecekteki sosyal mühendislik ve kimlik avı kampanyalarında kullanılma potansiyeline sahip' diye uyarıyor Tanium'da uç nokta güvenlik araştırma uzmanı Melissa Bischoping. Bischoping, 'Öğrenci kredisi affıyla ilgili son haberlerle birlikte, bu fırsatın dolandırıcılar tarafından suç faaliyetleri için bir geçit olarak kullanılması makul bir beklenti' dedi. Geçen hafta Biden yönetimi, düşük ve orta gelirli kredi sahipleri için 10.000 dolarlık öğrenci kredisi borcunu silme planını açıkladı. Bischoping, kredi affı programının kurbanları kimlik avı e-postaları açmaya çekmek için kullanılacağını belirtti. İyileştirme çalışmaları kapsamında, etkilenen kullanıcılara iki yıl ücretsiz kredi izleme, kredi raporları ve 1 milyon dolara kadar kimlik hırsızlığı sigortası sunuldu.